Система Apigee использует SymasLDAP для аутентификации пользователей в вашей среде управления API. SymasLDAP делает эту функцию политики паролей LDAP доступной.
В этом разделе описывается настройка политики паролей LDAP по умолчанию. Используйте эту политику паролей для настройки различных параметров аутентификации по паролю, например, количества последовательных неудачных попыток входа, после которых пароль больше не может быть использован для аутентификации пользователя в каталоге.
В этом разделе также описывается, как использовать несколько API для разблокировки учетных записей пользователей, заблокированных в соответствии с атрибутами, настроенными в политике паролей по умолчанию.
Дополнительную информацию см.:
Настройка политики паролей LDAP по умолчанию
Чтобы настроить политику паролей LDAP по умолчанию:
- Подключитесь к своему LDAP-серверу с помощью LDAP-клиента, например Apache Studio или ldapmodify. По умолчанию сервер SymasLDAP прослушивает порт 10389 на узле SymasLDAP.
Для подключения укажите Bind DN или пользователя
cn=manager,dc=apigee,dc=comи пароль SymasLDAP, который вы задали во время установки Edge. - Используйте клиент для перехода к атрибутам политики паролей для:
- Пользователи Edge:
cn=default,ou=pwpolicies,dc=apigee,dc=com - Системный администратор Edge:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Пользователи Edge:
- При необходимости отредактируйте значения атрибутов политики паролей.
- Сохраните конфигурацию.
Атрибуты политики паролей LDAP по умолчанию
| Атрибут | Описание | По умолчанию |
|---|---|---|
pwdExpireWarning | Максимальное количество секунд до истечения срока действия пароля, за которое пользователю, проходящему аутентификацию в каталоге, будут отправлены предупреждающие сообщения об истечении срока действия. | 604800 (эквивалентно 7 дням) |
pwdFailureCountInterval | Количество секунд, по истечении которых старые последовательные неудачные попытки привязки удаляются из счетчика неудач. Другими словами, это количество секунд, по истечении которого счетчик последовательных неудачных попыток входа в систему сбрасывается. Если Если Мы предлагаем задать для этого атрибута то же значение, что и для атрибута | 300 |
pwdInHistory | Максимальное количество использованных или прошлых паролей пользователя, которые будут сохранены в атрибуте При смене пароля пользователю будет запрещено менять его на любой из своих прошлых паролей. | 3 |
pwdLockout | Если | ЛОЖЬ |
pwdLockoutDuration | Количество секунд, в течение которых пароль не может быть использован для аутентификации пользователя из-за слишком большого количества последовательных неудачных попыток входа в систему. Другими словами, это период времени, в течение которого учетная запись пользователя будет оставаться заблокированной из-за превышения количества последовательных неудачных попыток входа в систему, установленного атрибутом Если См. Разблокировка учетной записи пользователя . Если значение Мы предлагаем задать для этого атрибута то же значение, что и для атрибута | 300 |
pwdMaxAge | Количество секунд, по истечении которых истекает срок действия пароля пользователя (не системного администратора). Значение 0 означает, что срок действия пароля не ограничен. Значение по умолчанию 2592000 соответствует 30 дням с момента создания пароля. | пользователь: 2592000 системный администратор: 0 |
pwdMaxFailure | Количество последовательных неудачных попыток входа в систему, после которых пароль не может быть использован для аутентификации пользователя в каталоге. | 3 |
pwdMinLength | Указывает минимальное количество символов, необходимое при установке пароля. | 8 |
Разблокировка учетной записи пользователя
Учётная запись пользователя может быть заблокирована из-за атрибутов, заданных в политике паролей. Пользователь с назначенной ролью sysadmin Apigee может разблокировать учётную запись, используя следующий вызов API. Замените userEmail , adminEmail и password фактическими значениями.
Чтобы разблокировать пользователя:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password